Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Подвисает интернет. Похоже на Win32.Kido. (заявка № 52597)

  1. #1
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54

    Exclamation Подвисает интернет. Похоже на Win32.Kido.

    Доброго времени суток!
    Суть моей проблемы в следующем...
    Некоторое время назад появилась проблема связанная с тем, что наглухо отваливается интернет. То есть после загрузки системы некоторое время все нормально (бывало даже всю ночь нормально работал если ничего не качать), но через какое-то время инет отваливается. Причем ни дисконекта ничего подобного. Пинг, трейс, ipconfig просто не запускаются.

    Сначала с наскока решил переставить систему. Не помогло.
    Почитал в интернете, похоже на вирус типа Kido. Правда, читал что среди признаков этого вируса невозможность попасть на сайты антивирусов, а у меня такого нет, сайты вроде все загружаются. Ну либо все не загружаются.

    Пробовал лечить как написано тут http://support.kaspersky.ru/faq/?qid=208636215. То есть поставил MS08-067, MS08-068, MS09-001 на всякий случай из безопасного режима, до кучи накатил SP3. Пробовал все шаги в точности как написано на этой странице. Не помогло. Подумал, может запустить утилиту KK.exe с параметром -m, дабы она убивала вирус в режиме реального времени... Все равно инет отваливается.

    Кстати, замечено: если просто лазить в интернете, то может пару часов не отвалиться инет, если качать что-нибудь активно, то может до часа выдержать. Если включить скачку торрентов, больше 10-15 минут ни разу не проработал.

    В общем, я уже впал в хандру и уныние, но тут нашел ваш замечательный сайт!!! Помогите пожалуйста мне избавиться от этой заразы. Внимательно прочитал правила и сделал все в точном соответствии с ними. Жду с нетерпеньем, и заранее СПАСИБО!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\TT.lnk - что запускается этим ярлыком?

    Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

    - Отключите ПК от интернета/локалки
    - Отключите Антивирус и Файрвол.
    - Отключите Системное восстановление.


    -Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\TT.lnk','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp','');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\mc25.tmp');´
     DeleteFileMask('C:\DOCUME~1\User\LOCALS~1\Temp','*.*',true);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    SetAVZPMStatus(True);
    RebootWindows(true);
    end.
    После перезагрузки:

    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    C:\Documents and Settings\User\Главное меню\Программы\Автозагрузка\TT.lnk - что запускается этим ярлыком?
    Этим ярлыком запускается VPN-соединение. Так у моего провайдера организована выделенка, сначала обычное соединение со статическим серым IP, сверху VPN с логин/паролем. Ярлык сделал просто для удобства чтобы каждый раз при загрузке компьютера не запускать руками.

    Все сделал как Вы сказали. Вкладывают архивы.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927
    После лечения: Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Скачал Live CD DrWeb. Записал на диск и все проверил загрузившись с него. Антивирус ничего не нашел.
    Вкладываю диагностику.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Сделайте лог GMER

  8. #7
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Вложил Лог.
    Вложения Вложения
    • Тип файла: log gmer.log (44.2 Кб, 8 просмотров)

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Grinag Посмотреть сообщение
    Вложил Лог.
    Чисто.
    Сделайте еще лог МБАМ http://www.malwarebytes.org/mbam-download.php

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385

  11. #10
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Чисто.
    А между тем, за две минуты пока я качал этот дистриб, инет слелел аж два раза. Хотя, днем я комп оставлял включеным, он за весь день не подвесил интернет... Почему-то именно в моменты когда закачка идет подвешиваетсяч интернет.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Сделайте еще лог МБАМ http://www.malwarebytes.org/mbam-download.php
    Тут не понял: надо сделать полную проверку, и по результатам там можно будет лог сохранить? Или просто перейти на закладку "утилиты" и там нажать "сбор информации". Если второе, то mbam-info.txt . Если первое - то mbam-log-2009-08-25 (00-35-36).txt

    Alex_Goodwin, лог о котором Вы сказали тоже вложил.
    Вложения Вложения
    Последний раз редактировалось Grinag; 25.08.2009 в 00:38.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    АВЗ у вас старой версии. скачайте новый, обновите базы, сделайте стандартные логи.

    Добавлено через 12 минут

    Пришлите по правилам C:\WINDOWS\system32\CDClose.dll
    Так же постарайтесь сделать поиск по "CDClose" по реестру и все записи найденные экспортировать в файл.
    Последний раз редактировалось Alex_Goodwin; 25.08.2009 в 01:06. Причина: Добавлено

  13. #12
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    АВЗ у вас старой версии. скачайте новый, обновите базы, сделайте стандартные логи.

    Добавлено через 12 минут

    Пришлите по правилам C:\WINDOWS\system32\CDClose.dll
    Так же постарайтесь сделать поиск по "CDClose" по реестру и все записи найденные экспортировать в файл.
    Там этого файла уже нету. Правда, он есть в карантине Malwarebytes' Anti-Malware. Я посмотрел, вроде бы там нет способа заархивировать его кроме как "восстановить". Сделать это?

    Скачал с сайта касперского АВЗ. Правда, там неактивен пункт в меню "файл -> обновить", но я надеюсь что он там лежит самый новый.
    Так же прошелся по реестру. Все что нашел вложил в архив, который прикрепил тут же. Правда, там еще есть записи, которые указывают на "C:\Documents and Settings\User\Мои документы\CDClose9.reg", где 9 - порядковый номер файла. Это туда я экспортировал записи реестра.
    Эти записи я не стал вкладывать. Они получается по сути дублированы.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Восстановите, пришлите по правилам и потом переименуйте пока в .bak
    АВЗ опять старый, скачайте у нас по правилам с официального сайта.

  15. #14
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Все сделал. Скачал последний АВЗ, проверил, вложил логи.
    Файл восстановил, заархивировал, заменил расширение исходного файла .dll на .bak.

    Архив с CDClose.dll прислал с помощью верхней формы.
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    spy sweeper или Spyware Doctor стоит или стоял?
    Наличие ключика в реестре можете посмотреть?
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic e\mchInjDrv
    Проблемы еще остались?

  17. #16
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    spy sweeper или Spyware Doctor стоит или стоял?
    Наличие ключика в реестре можете посмотреть?
    Этих утилит не стоит. Поставить?
    Вложил сделал экспорт этой ветки и вложил в сообщение.

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic e\mchInjDrv
    Проблемы еще остались?
    Да. Так же, когда закачки не ставлю, зависает крайне редко. Когда ставлю качать, особенно торенты, зависает 100% и очень быстро.
    Последний раз редактировалось pig; 26.08.2009 в 06:34. Причина: подозрительных файлов нам сюда не надо

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Grinag Посмотреть сообщение
    Этих утилит не стоит. Поставить?
    Избави бог

    Добавлено через 7 минут

    Цитата Сообщение от Grinag Посмотреть сообщение
    Когда ставлю качать, особенно торенты, зависает 100% и очень быстро.
    У меня зависает по черному, если несколько архивов и логов открыты, а я их закрывать начинаю: у меня ПК 7 лет
    Пролечитесь от файловых вирусов: http://virusinfo.info/showthread.php?t=15927.
    Последний раз редактировалось Rene-gad; 26.08.2009 в 10:43. Причина: Добавлено

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    CDClose.dll - чистый файл.
    Поищите файл mchInjDrv.
    Экспорт
    Код:
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Service\mchInjDrv
    не увидел. Но если есть, то надо удалить mchInjDrv
    так как файлы в темпе от него.

  20. #19
    Junior Member Репутация
    Регистрация
    20.08.2009
    Сообщений
    11
    Вес репутации
    54
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Пролечитесь от файловых вирусов
    Вечером как буду дома, обязательно пролечусь

    Цитата Сообщение от Alex_Goodwin Посмотреть сообщение
    не увидел. Но если есть, то надо удалить mchInjDrv
    так как файлы в темпе от него.
    Блин, почему-то не присоединились. В общем там есть такая ветка в ней параметров штук 5 и еще одна папка. И в той папке тоже еще параметров несколько. Удалять всю ветку mchInjDrv?

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.03.2006
    Сообщений
    2,780
    Вес репутации
    1385
    Да.

  • Уважаемый(ая) Grinag, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 31.10.2010, 09:12
    2. Похоже на остатки KIDO
      От alyen в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 23.06.2010, 17:46
    3. Похоже на KIDO...
      От aferook в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 07.01.2010, 22:21
    4. Похоже на Kido, но Kkiller не запускается.
      От Александр2320 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.11.2009, 07:14
    5. Похоже Kido
      От Ruslik в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 14.11.2009, 00:53

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01079 seconds with 18 queries